Personvernerklæring
Sist oppdatert: 2026-05-05 · Versjon 2.0
Denne personvernerklæringen forklarer hvordan Stafflo behandler personopplysninger i tråd med EUs personvernforordning (GDPR) og den norske personopplysningsloven (2018).
1. Behandlingsansvarlig
Stafflo
E-post: support@stafflo.no
Postadresse: Dukkelunden 6, 5518 Haugesund, Norge
Organisasjonsnummer: 937 626 738
For spørsmål om personvern: support@stafflo.no
Stafflo har ikke utnevnt personvernombud (DPO) — virksomheten oppfyller ikke kriteriene i GDPR artikkel 37(1).
2. Vår rolle og din rolle
Stafflo opererer i to roller:
| Rolle | Når | Hvem er den registrerte |
|---|---|---|
| Behandlingsansvarlig | For din egen kontoinformasjon (navn, e-post, OAuth-identitet) | Du som bruker |
| Databehandler | For ansattdata du selv legger inn (navn, kontaktinfo, fravær, vakter) | De ansatte du planlegger for |
Når Stafflo opptrer som databehandler er du arbeidsgiveren / virksomheten behandlingsansvarlig for dine ansattes opplysninger. Du inngår Databehandleravtale (DPA) med Stafflo ved registrering.
3. Hvilke personopplysninger behandler vi?
3.1 Om deg som bruker
| Kategori | Eksempler | Kilde |
|---|---|---|
| Identifikator | Bruker-ID, e-post, navn, profilbilde | Google / Microsoft OAuth |
| Tekniske data | Enhets-ID, enhetsnavn, IP-adresse, brukeragent | Stafflo-appen |
| Bruksdata | Antall AI-genereringer, dato | Server-logger |
| Samtykkelogg | Tidspunkt for GDPR-samtykke | Du, ved første pålogging |
3.2 Om dine ansatte (behandlingsansvarlig: deg, databehandler: Stafflo)
| Kategori | Eksempler |
|---|---|
| Identitet | Navn, rolle, tilgjengelige dager |
| Kontakt | Telefon, e-post (valgfritt) |
| Arbeidsforhold | Stillingsprosent, vakttyper, fødselsdag (KUN dag og måned) |
| Fravær | Datoer, fraværstype, valgfritt notat |
| Notater | Fritekstfelt i ansatt- eller periodevisning |
Sykefravær og egenmelding kan utgjøre særlige kategorier av personopplysninger (GDPR art. 9). Stafflo lagrer fraværstypen, men maskerer den til «utilgjengelig» før data sendes til AI-leverandøren. Notatfelter sendes som de er — appen advarer mot å skrive helseopplysninger der.
3.3 Nyhetsbrev på stafflo.no
| Kategori | Behandlingsgrunnlag |
|---|---|
| E-postadresse + samtykketidspunkt | Samtykke (GDPR art. 6(1)(a)) |
4. Behandlingsgrunnlag
| Behandling | Rettslig grunnlag |
|---|---|
| Levering av tjenesten (kontoinfo, ansattregister, planer) | Avtale (art. 6(1)(b)) |
| Sykefravær og egenmelding | Rettslig forpliktelse / arbeidsrettslige plikter (art. 6(1)(c) + art. 9(2)(b)) |
| AI-generering av plan | Berettiget interesse (art. 6(1)(f)) — helsedata strippes |
| Kontoadministrasjon, sikkerhet, audit-logg | Berettiget interesse (art. 6(1)(f)) |
| Nyhetsbrev | Samtykke (art. 6(1)(a)) |
| Lagring av betalingsdata | Rettslig forpliktelse (bokføringsloven §13) — 5 år |
5. Lagringstid
| Datatype | Oppbevaring | Begrunnelse |
|---|---|---|
| Kontoinformasjon | Til konto slettes | Tjenesteavtale |
| Ansattdata og fravær | Til virksomheten sletter | Du styrer dette som behandlingsansvarlig |
| Sikkerhetskopi (backup) | Ingen automatisk backup på nåværende plan | Data gjenopprettes fra siste deployment ved feil (Railway Hobby) |
| Genererte arbeidsplaner | 24 måneder, deretter automatisk slettet | Lagringsbegrensning (art. 5(1)(e)) |
| Audit-logg / sikkerhetslogg | 12 måneder | Sikkerhet og ansvarlighet |
| AI-bruksstatistikk | 12 måneder | Fakturering og misbrukshindring |
| Refresh-tokens | 30 dager (eller til utlogging) | Autentisering |
| Stripe-betalingsdata | 5 år (anonymisert ved kontosletting) | Bokføringsloven §13 |
| Newsletter-abonnement | Til avmelding | Samtykke-basert |
6. Mottakere og databehandlere
Stafflo overfører personopplysninger til følgende underleverandører:
| Leverandør | Tjeneste | Land | Overføringsmekanisme |
|---|---|---|---|
| Anthropic, PBC | AI (Claude) for planlegging | USA | SCC (art. 46(2)(c)) + Anthropic DPA |
| Railway Corp. | Hosting av backend og database | EU | EU-hosting, ingen overføring utenfor EØS |
| Vercel Inc. | Hosting av stafflo.no | USA | SCC + Vercel DPA |
| Stripe Payments Europe Ltd. | Betaling | Irland (EU) + USA | SCC + Stripe DPA |
| Resend, Inc. | Transaksjons-e-post | USA | SCC + Resend DPA |
| Google LLC | OAuth-pålogging | USA | SCC |
| Microsoft Corporation | OAuth-pålogging | USA | SCC + EU Data Boundary |
| GitHub, Inc. | Distribusjon av appoppdateringer | USA | SCC |
Vi inngår databehandleravtale (DPA) med samtlige underleverandører i tråd med GDPR artikkel 28.
7. Overføring utenfor EØS
Flere av våre underleverandører er etablert i USA. Overføringer skjer i henhold til EU-kommisjonens standardkontraktsklausuler (2021/914) — GDPR art. 46(2)(c) — samt eventuelle tilleggsgarantier (kryptering i transit og hvile, tilgangsbegrensning).
Du kan be om kopi av relevante SCC-klausuler ved henvendelse til support@stafflo.no.
8. Dine rettigheter (GDPR art. 12–22)
| Rettighet | Hvordan utøve |
|---|---|
| Innsyn (art. 15) | Trykk på «Last ned mine data» under Innstillinger → Personvern |
| Korrigering (art. 16) | Endre direkte i appen, eller kontakt support |
| Sletting (art. 17) | Trykk på «Slett konto» under Innstillinger → Personvern |
| Begrensning (art. 18) | Send forespørsel til support@stafflo.no |
| Dataportabilitet (art. 20) | Bruk eksportfunksjonen — utdata er JSON |
| Innsigelse (art. 21) | Send forespørsel til support@stafflo.no |
| Trekke samtykke (art. 7(3)) | Avmeldingslenke i hver e-post; konto-sletting tilbakekaller alle samtykker |
Vi besvarer henvendelser innen 30 dager (GDPR art. 12(3)).
Klage
Hvis du mener vi behandler personopplysninger i strid med regelverket har du rett til å klage til:
Datatilsynet
Postboks 458 Sentrum, 0105 Oslo
Telefon: 22 39 69 00
datatilsynet.no
9. Sikkerhet (art. 32)
- Kryptering i transit: Alle API-kall skjer over TLS 1.2+.
- Token-sikkerhet: Adgangstokens er JWT-signert (HS256), gyldige i 1 time. Refresh-tokens lagres som SHA-256-hash — klartekst lagres aldri.
- Tilgangskontroll: Kun innloggede brukere når data tilhørende sin egen organisasjon.
- Audit-logg: Påloggingshendelser, GDPR-eksport og kontosletting logges.
- Hastighetsbegrensning: API-er har ratelimiter for å hindre brute-force og misbruk.
- Dataminimering: Ansattnavn pseudonymiseres til fornavn + initial før AI-overføring. Fraværstyper maskeres.
Stafflo varsler brudd på personopplysningssikkerheten til Datatilsynet innen 72 timer (art. 33), og berørte registrerte uten ugrunnet opphold (art. 34).
10. Informasjonskapsler (cookies) og analyse
stafflo.no: Bare tekniske cookies som er strengt nødvendige for nettsidefunksjon. Ingen sporings- eller markedsførings-cookies. Personvernsiden (denne siden) bruker ingen analyseskript.
Andre stafflo.no-sider: Vi bruker Vercel Web Analytics (anonym, cookie-løs sidevisnings-statistikk uten persistent identifikator) og Vercel Speed Insights (ytelsesmåling som benytter localStorage for sampling). Ingen av disse setter sporings-cookies eller deler data med tredjepart for markedsføring. Behandlingsgrunnlag: berettiget interesse (GDPR art. 6(1)(f)) — drift og ytelse av nettsiden.
Stafflo-appen: localStorage benyttes for å lagre påloggingstokens og innstillinger lokalt. Ingen tredjepartssporing.
11. Automatisert behandling (art. 22)
Stafflo bruker en AI-modell (Anthropic Claude) til å foreslå en arbeidsplan basert på dine ansattes stillingsprosent, tilgjengelighet, fravær og åpningstider. AI-en lager forslag — managers signerer dem. Den genererte planen er fullt ut redigerbar før den tas i bruk, og det er managers som beslutter hvilken plan som faktisk gjelder.
Fordi det er et menneske som vurderer og godkjenner hver plan, regnes ikke dette som «automatisert individuell avgjørelse» i GDPR art. 22(1) sin forstand. Likevel vil vi være tydelige om logikken:
- Hovedlogikk: AI-en får ansattnavn (pseudonymisert), stillingsprosent, tilgjengelige dager, fraværsdatoer (uten type), og butikkens åpningstider. Den foreslår en kombinasjon av vakter som forsøker å treffe alles kontrakts-prosent innenfor norske AML-grenser.
- Etterbehandling: Forslaget passerer en deterministisk regel-sjekker som fjerner vakter som bryter AML §10-4 (48t/uke), §10-5 (10t/vakt), §10-8 (11t døgnhvile), samt vakter på fravær eller stengte dager.
- Signifikans: Planen påvirker arbeidstid og dermed lønn. Du har rett til å be om en manuell omplanlegging hvis du mener AI-forslaget er urimelig — send forespørsel til support@stafflo.no.
12. Mindreårige
Brukere (de som oppretter Stafflo-konto) må være 18 år eller eldre. Ansatte under 18 år kan registreres av arbeidsgiver i henhold til arbeidsmiljølovens regler for unge arbeidstakere (§11-1 ff.). Arbeidsgiver er behandlingsansvarlig for ansatte-data og må sørge for nødvendig samtykke fra foreldre der det kreves.
13. Vedlegg — databehandleravtale (DPA)
Den fullstendige databehandleravtalen brukere godtar i appen tilsvarer artikkel 28 i GDPR og dekker:
- Behandlingens art og formål: Stafflo behandler personopplysninger om dine ansatte (navn, stillingsprosent, tilgjengelighet, fravær, vakter) på vegne av deg som arbeidsgiver, for å generere og lagre arbeidsplaner.
- Type opplysninger: Navn, kontaktdata, arbeidstidsdata, fraværsdatoer (uten helseopplysninger som lekker til underleverandører). Egne tjenester pseudonymiserer navn før eventuell AI-overføring.
- Underleverandører: Liste i §6 over. Du varsles minst 30 dager før en ny underleverandør tas i bruk, med rett til å protestere.
- Sikkerhet: Tiltakene i §9 (kryptering, tilgangskontroll, audit-logg).
- Bistand: Vi bistår deg som behandlingsansvarlig med innsyn, sletting, dataportabilitet og brudd-varsling.
- Sletting ved opphør: Ved oppsigelse av Stafflo-abonnementet sletter eller anonymiserer vi alle persondata innen 90 dager (med unntak av betalingsdata, der bokføringsloven §13 krever 5 års oppbevaring).
- Endringer: Avtaleendringer varsles per e-post. Versjon vises i appen ved akseptering.
Du kan be om en signert PDF-utgave ved å sende e-post til support@stafflo.no.
14. Endringer
Vi oppdaterer denne erklæringen når praksis eller lovgivning endres. Vesentlige endringer varsles på stafflo.no minst 14 dager før de trer i kraft. Versjonsnummer vises øverst.
15. Kontakt
E-post: support@stafflo.no
Generelle spørsmål kan rettes til samme adresse.
Note: This is an English translation provided for convenience. The Norwegian version at stafflo.no/personvern is the legally binding text and governs all data processing.
Privacy Policy
Last updated: 2026-05-05 · Version 2.0
This privacy policy explains how Stafflo processes personal data in accordance with the EU General Data Protection Regulation (GDPR) and the Norwegian Personal Data Act (2018).
1. Data Controller
Stafflo
Email: support@stafflo.no
Postal address: Dukkelunden 6, 5518 Haugesund, Norway
Organisation number: 937 626 738
For privacy enquiries: support@stafflo.no
Stafflo has not appointed a Data Protection Officer (DPO) — the business does not meet the criteria in GDPR Article 37(1).
2. Our role and your role
Stafflo operates in two roles:
| Role | When | Who the data subject is |
|---|---|---|
| Data Controller | For your own account information (name, email, OAuth identity) | You as the user |
| Data Processor | For employee data you enter (names, contact info, absences, shifts) | The employees you schedule for |
When Stafflo acts as a data processor, you, the employer / business, are the data controller for your employees' data. You enter into a Data Processing Agreement (DPA) with Stafflo on registration.
3. What personal data do we process?
3.1 About you as the user
| Category | Examples | Source |
|---|---|---|
| Identifier | User ID, email, name, profile picture | Google / Microsoft OAuth |
| Technical data | Device ID, device name, IP address, user agent | The Stafflo app |
| Usage data | Number of AI generations, date | Server logs |
| Consent log | Timestamp of GDPR consent | You, on first login |
3.2 About your employees (you as data controller, Stafflo as data processor)
| Category | Examples |
|---|---|
| Identity | Name, role, available days |
| Contact | Phone, email (optional) |
| Employment | Contract percentage, shift types, birthday (DAY and MONTH only) |
| Absence | Dates, absence type, optional note |
| Notes | Free-text field in employee or period view |
Sick leave and self-declared absence may constitute special categories of personal data (GDPR art. 9). Stafflo stores the absence type but masks it as "unavailable" before data is sent to the AI provider. Note fields are sent as-is — the app warns against writing health-related information there.
3.3 Newsletter on stafflo.no
| Category | Legal basis |
|---|---|
| Email address + consent timestamp | Consent (GDPR art. 6(1)(a)) |
4. Legal basis for processing
| Processing | Legal basis |
|---|---|
| Service delivery (account info, employee register, plans) | Contract (art. 6(1)(b)) |
| Sick leave and self-declared absence | Legal obligation / employment-law duties (art. 6(1)(c) + art. 9(2)(b)) |
| AI plan generation | Legitimate interest (art. 6(1)(f)) — health data stripped |
| Account administration, security, audit log | Legitimate interest (art. 6(1)(f)) |
| Newsletter | Consent (art. 6(1)(a)) |
| Payment data storage | Legal obligation (Norwegian Bookkeeping Act §13) — 5 years |
5. Retention period
| Data type | Retention | Reason |
|---|---|---|
| Account information | Until account is deleted | Service contract |
| Employee data and absence | Until the business deletes it | You control this as data controller |
| Backup | No automatic backup on current plan | Data restored from last deployment on failure (Railway Hobby) |
| Generated work plans | 24 months, then automatically deleted | Storage limitation (art. 5(1)(e)) |
| Audit / security log | 12 months | Security and accountability |
| AI usage statistics | 12 months | Billing and abuse prevention |
| Refresh tokens | 30 days (or until logout) | Authentication |
| Stripe payment data | 5 years (anonymised on account deletion) | Norwegian Bookkeeping Act §13 |
| Newsletter subscription | Until unsubscribe | Consent-based |
6. Recipients and data processors
Stafflo transfers personal data to the following sub-processors:
| Provider | Service | Country | Transfer mechanism |
|---|---|---|---|
| Anthropic, PBC | AI (Claude) for scheduling | USA | SCC (art. 46(2)(c)) + Anthropic DPA |
| Railway Corp. | Hosting of backend and database | EU | EU hosting, no transfer outside the EEA |
| Vercel Inc. | Hosting of stafflo.no | USA | SCC + Vercel DPA |
| Stripe Payments Europe Ltd. | Payments | Ireland (EU) + USA | SCC + Stripe DPA |
| Resend, Inc. | Transactional email | USA | SCC + Resend DPA |
| Google LLC | OAuth login | USA | SCC |
| Microsoft Corporation | OAuth login | USA | SCC + EU Data Boundary |
| GitHub, Inc. | App update distribution | USA | SCC |
We enter into a Data Processing Agreement (DPA) with every sub-processor in accordance with GDPR Article 28.
7. Transfers outside the EEA
Several of our sub-processors are established in the USA. Transfers take place under the European Commission's Standard Contractual Clauses (2021/914) — GDPR art. 46(2)(c) — along with any supplementary safeguards (encryption in transit and at rest, access restrictions).
You can request copies of the relevant SCC clauses by emailing support@stafflo.no.
8. Your rights (GDPR art. 12–22)
| Right | How to exercise |
|---|---|
| Access (art. 15) | Click "Download my data" under Settings → Privacy |
| Rectification (art. 16) | Edit directly in the app, or contact support |
| Erasure (art. 17) | Click "Delete account" under Settings → Privacy |
| Restriction (art. 18) | Send a request to support@stafflo.no |
| Data portability (art. 20) | Use the export function — output is JSON |
| Objection (art. 21) | Send a request to support@stafflo.no |
| Withdraw consent (art. 7(3)) | Unsubscribe link in every email; account deletion revokes all consents |
We respond to requests within 30 days (GDPR art. 12(3)).
Complaints
If you believe we process personal data in breach of the regulations, you have the right to file a complaint with:
Datatilsynet (Norwegian Data Protection Authority)
Postboks 458 Sentrum, 0105 Oslo, Norway
Phone: +47 22 39 69 00
datatilsynet.no
9. Security (art. 32)
- Encryption in transit: All API calls run over TLS 1.2+.
- Token security: Access tokens are JWT-signed (HS256), valid for 1 hour. Refresh tokens are stored as SHA-256 hashes — plaintext is never stored.
- Access control: Only logged-in users can reach data belonging to their own organisation.
- Audit log: Login events, GDPR exports, and account deletions are logged.
- Rate limiting: APIs have rate limiters to prevent brute-force and abuse.
- Data minimisation: Employee names are pseudonymised to first name + initial before AI transfer. Absence types are masked.
Stafflo notifies Datatilsynet of personal-data breaches within 72 hours (art. 33), and affected data subjects without undue delay (art. 34).
10. Cookies and analytics
stafflo.no: Only technical cookies strictly necessary for website function. No tracking or marketing cookies. This privacy page itself loads no analytics scripts.
Other stafflo.no pages: We use Vercel Web Analytics (anonymous, cookie-less page-view stats with no persistent identifier) and Vercel Speed Insights (performance measurement that uses localStorage for sampling). Neither sets tracking cookies nor shares data with third parties for marketing. Lawful basis: legitimate interests (GDPR art. 6(1)(f)) — site operation and performance.
The Stafflo app: localStorage is used to store login tokens and settings locally. No third-party tracking.
11. Automated processing (art. 22)
Stafflo uses an AI model (Anthropic Claude) to suggest a work schedule based on your employees' contract percentage, availability, leave, and store hours. The AI suggests — managers sign off. The generated schedule is fully editable before it goes into effect, and the manager decides which plan actually applies.
Because a human reviews and approves each plan, this does not amount to an "automated individual decision" under GDPR art. 22(1). We still want to be transparent about the logic:
- Main logic: The AI receives employee names (pseudonymised), contract percentage, available days, leave dates (without type), and store opening hours. It proposes a combination of shifts intended to hit each person's contract percentage within Norwegian Working Environment Act limits.
- Post-processing: The proposal passes through a deterministic rule checker that removes shifts violating §10-4 (48h/week), §10-5 (10h/shift), §10-8 (11h daily rest), as well as shifts on absences or closed days.
- Significance: The plan affects working hours and therefore pay. You may request a manual replan if you believe the AI proposal is unreasonable — write to support@stafflo.no.
12. Minors
Users (those who create a Stafflo account) must be 18 or older. Employees under 18 may be registered by their employer in accordance with Norwegian Working Environment Act rules for young workers (§11-1 ff.). The employer is the controller for employee data and must obtain parental consent where required.
13. Annex — Data Processing Agreement (DPA)
The full DPA users accept in the app corresponds to GDPR article 28 and covers:
- Nature and purpose: Stafflo processes personal data about your employees (name, contact data, availability, leave, shifts) on your behalf as employer, to generate and store work schedules.
- Categories of data: Name, contact data, working-time data, leave dates (without health information leaking to sub-processors). Our own service pseudonymises names before any AI transfer.
- Sub-processors: See §6 list above. You receive at least 30 days' notice before a new sub-processor is engaged, with right to object.
- Security: Measures in §9 (encryption, access control, audit log).
- Assistance: We assist you as controller with access requests, deletion, portability, and breach notifications.
- Deletion on termination: When your Stafflo subscription ends, we delete or anonymise all personal data within 90 days (except payment records, where the Norwegian Bookkeeping Act §13 requires 5 years' retention).
- Changes: Amendments are notified by email. Version is shown in-app at acceptance.
A signed PDF copy is available on request at support@stafflo.no.
14. Changes
We update this notice when practices or legislation change. Material changes are announced on stafflo.no at least 14 days before they take effect. The version number is shown at the top.
15. Contact
Email: support@stafflo.no
General enquiries can be sent to the same address.